文档首页> 数据湖探索 DLI> 用户指南(阿布扎比区域)> 跨源连接> 创建及管理跨源认证
更新时间:2022-12-07 GMT+08:00
查看PDF

创建及管理跨源认证

跨源认证使用场景

跨源认证用于管理访问CSS和MRS安全环境的认证信息,以及加密存储访问DWS、RDS、DDS、DCS数据源的密码。

  • 创建CSS安全集群时,需要指定用户名、密码、CSS安全集群,会有一个证书可供下载。访问CSS安全集群,需要这三个信息,为了便于从DLI连接CSS安全集群,将这三个信息存储到DLI服务中,即为连接CSS安全集群的“跨源认证信息”。
  • 创建MRS安全集群时,需要开启Kerberos认证。下载认证凭证,认证凭证中包含“krb5.conf”和“user.keytab”文件。在从DLI连接MRS安全集群时,可将这两个文件存储到DLI服务中,即为连接MRS安全集群的“跨源认证信息”。
  • 创建Kafka集群,需要开启SSL访问配置。可在MRS服务,Kafka组件的“服务配置”中进行配置,也可以通过搭建开源Kafka集群,修改配置文件进行开启。
  • 通过跨源密码认证,加密存储用于访问DWS、RDS、DDS、DCS数据源的密码。

创建跨源认证信息

  1. 创建需要访问的数据源。

    如果已有可用集群,可不用重新申请。

    • 创建CSS安全集群:在CSS服务中创建集群,“集群版本”选择“6.5.4”或“6.5.4”以上版本,并开启“安全模式”
    • 创建MRS安全集群:在MRS服务中申请集群,选择“自定义购买”,“集群版本”选择“MRS 2.1.0”或“MRS 2.1.0”以上版本,并开启“Kerberos认证”。
    • 创建Kafka集群:可在MRS服务,Kafka组件的“服务配置”中进行配置。在MRS服务配置SSL具体操作可参考《MapReduce服务用户指南》中《安全配置》章节。
    • 创建DWS集群:在DWS服务中申请数据仓库集群,具体请参考《数据仓库服务管理指南》。
    • 创建RDS数据源:在RDS服务中申请数据库实例,具体请参考《云数据库快速入门》。
    • 创建DCS数据源:在DCS服务中申请缓存实例,具体请参考《分布式缓存指南》。
    • 创建DDS数据源:在DDS服务中申请数据库实例,具体请参考《文档数据库服务快速入门》。
  2. 下载认证凭证。访问DWS、RDS、DCS、DDS数据源请跳过该步骤。
    • CSS安全集群:在“集群管理”页面中,单击对应的集群名称,进入“基本信息”页面,找到“安全模式”,下载CSS安全集群的证书。
    • MRS安全集群:在“集群列表”页面中,单击对应的集群名称,进入集群信息页面,可“下载认证凭证”。下载认证凭证后,需进行解压,得到“krb5.conf”和“user.keytab”文件。
  3. 上传“认证凭证”。访问DWS、RDS、DCS、DDS数据源请跳过该步骤。

    将获取到的认证凭证文件上传到自定义的OBS桶中。

  4. 在DLI管理控制台选择“跨源管理”。
  5. 在“跨源认证”页签,单击“创建”,创建认证信息。
    • CSS
      表1 参数说明

      参数

      参数说明

      类型

      选择CSS。

      认证信息名称

      所创建的跨源认证信息名称。

      • 名称只能包含数字、英文字母和下划线,但不能是纯数字,且不能以下划线开头。
      • 输入长度不能超过128个字符。
      • 建议名称中包含CSS安全集群的名称,便于区分不同集群的安全认证信息。

      用户名

      安全集群的登录用户名。

      用户密码

      安全集群的登录密码。

      Certificate路径

      上传“安全证书”的OBS路径。
    • MRS
      表2 参数说明

      参数

      参数说明

      类型

      选择kerberos。

      认证信息名称

      所创建的跨源认证信息名称。

      • 名称只能包含数字、英文字母和下划线,但不能是纯数字,且不能以下划线开头。
      • 输入长度不能超过128个字符。
      • 建议名称中包含MRS安全集群的名称,便于区分不同集群的安全认证信息。

      用户名

      安全集群的登录用户名。

      krb5_conf路径

      上传“krb5.conf”文件的OBS路径。

      说明:

      “krb5.conf”中需移除[libdefaults]下的“renew_lifetime”配置项,否则可能会遇到“Message stream modified (41)”问题。

      keytab路径

      上传“user.keytab”文件的OBS路径。
    • Kafka
      表3 参数说明

      参数

      参数说明

      类型

      选择Kafka_SSL。

      认证信息名称

      所创建的跨源认证信息名称。

      • 名称只能包含数字、英文字母和下划线,但不能是纯数字,且不能以下划线开头。
      • 输入长度不能超过128个字符。

      Truststore路径

      上传SSL TRUSTSTORE文件的OBS路径。

      Truststore密码

      truststore密码,默认为dms@kafka

      Keystore路径

      上传SSL KEYSTORE(密钥和证书)文件的OBS路径。

      Keystore密码

      keystore(密钥和证书)密码。

      Key密码

      keystore中的私钥密码。
    • password(跨源密码认证)

      访问DWS、RDS、DCS和DDS数据源通过该方式创建跨源认证。

      目前只支持Spark SQL。

      表4 参数说明

      参数

      参数说明

      类型

      选择Password。

      认证信息名称

      所创建的跨源认证信息名称。

      • 名称只能包含数字、英文字母和下划线,但不能是纯数字,且不能以下划线开头。
      • 输入长度不能超过128个字符。

      用户名称

      访问数据源的用户名。

      用户密码

      访问数据源的密码。

查找认证信息

“跨源认证”页签,可在搜索框中输入认证信息名称,查找与之匹配的认证信息。为了用户信息的安全,不会返回密码字段。

更新认证信息

“跨源认证”页签,单击需要修改的认证信息“操作”列中的“更新”,更改认证信息。目前仅支持更新改用户名称和用户密码。若需要更新证书,请删除该认证信息,再重新创建。

用户名和密码非必填,若不填,则表示不修改该字段。

删除认证信息

“跨源认证”页签,单击需要修改的认证信息“操作”列中的“删除”,删除不需要的认证信息。

父主题: 跨源连接